VMware SD-WAN Edge 通常部署在 Amazon Web Services (AWS) 上的 Transit VPC 中。AWS 引入了对 AWS TGW (Transit Gateway) Connect 服务的支持,以使 SD-WAN 设备连接到 Transit Gateway。VMware SD-WAN Edge 现在具有一项功能(LAN 上的 BGP over GRE 支持),该功能支持在 VMware SD-WAN Edge 上使用 AWS TGW Connect 服务连接到 AWS Transit Gateway。

对于 AWS TGW Connect 服务,在 Transit VPC 中置备的 Edge 需要使用 LAN(路由、非 WAN)接口来设置 GRE 隧道。这样可有效使用在 Edge Intelligence (EI) 上配置的专用 IP 来设置到 Transit Gateway 的 GRE 隧道。

Amazon Web Services (AWS) 配置过程

  1. 在 AWS 门户中,在特定区域置备 AWS Transit Gateway。该同一区域中必须具有置备了 VMware SD-WAN Edge 的 Transit VPC。
    检查要配置的 Transit Gateway CIDR 块,如下图中所示。
    注: 该块中的 IP 将用于 AWS TGW 上的 GRE 端点。Amazon ASN 稍后将在 VMware SD-WAN Edge 上的 BGP 配置中使用。
  2. 为 Transit VPC 创建 VPC 连接,以指定 Edge 或 EI 的 LAN 接口所在的子网。

    创建 VPC 连接后,状态 (State) 列中将显示可用 (Available)

  3. 使用 VPC 连接创建 Connect 连接。

    创建 Connect 连接后,状态 (State) 列中将显示可用 (Available)

  4. 创建一个 Connect 对等体,该对等体将转换为 GRE 隧道。指定以下参数:“Transit Gateway GRE 地址”(Transit Gateway GRE Address)、“对等体 GRE 地址”(Peer GRE Address)、“CIDR 块内的 BGP”(BGP Inside CIDR block) 以及“对等体 ASN”(Peer ASN)。
    注: “CIDR 块内的 BGP”(BGP Inside CIDR block) 和“对等体 ASN”(Peer ASN) 必须与 VMware SD-WAN Edge 上配置的内容相匹配。
    在上述示例中:
    • 172.43.0.24 是 AWS TGW 上的 GRE 外部 IP 地址,该 IP 是从 Transit Gateway CIDR 块中分配的。
    • 10.1.1.30 是 VMware SD-WAN Edge 上的 GRE 外部 IP 地址。
    • 169.254.31.0/29 是内部 CIDR 块。该块中的地址将用于 BGP 邻居。
    • 169.254.31.1 是 VMware SD-WAN Edge 上的 IP 地址。
    • 169.254.31.2 和 169.254.31.3 是用于 AWS TGW 上的 BGP 的地址。
    • 64512 是在 AWS TGW 上配置的 BGP ASN。
    • 65000 是在 VMware SD-WAN Edge 上配置的 BGP ASN。
    Transit VPC 的 VPC 资源映射列出了 LAN 端子网和路由表,如下图中所示。
  5. 在 Transit VPC 路由表中,为 TGW CIDR 块添加一个路由,并将目标或下一跃点作为 VPC 连接。
    注: 例如,172.43.0.0/24 是 AWS TGW CIDR 块。
  6. 在同一路由表中,确认 LAN EI 子网具有明确的子网关联。

VMware SASE Orchestrator 配置过程

  1. VMware SASE Orchestrator 上,转到网络服务 (Network Services) > 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge),然后为 GRE 隧道配置 AWS Transit Gateway Connect。
    注: 在为 GRE 隧道配置 AWS Transit Gateway Connect 服务时,请参阅以下重要说明:
    • 可配置的唯一“隧道模式”(Tunnel Mode) 参数为“活动/活动”(Active/Active)。
    • 对于使用 AWS Transit Gateway 服务的 GRE 隧道,不存在保持活动状态机制。
    • 默认情况下,将为 GRE 隧道配置 BGP。BGP 保持活动状态将用于 BGP 邻居状态。
    • Edge 不支持跨多个隧道的 ECMP。因此,只会将一个 GRE 隧道用于输出流量。
  2. 在“配置文件”(Profile) 下,启用“云 VPN”(Cloud VPN),启用“通过 Edge 的非 SD-WAN 目标”(Non SD-WAN Destination via Edge),然后选择 NSD。
  3. 在“通过 Edge 的非 SD-WAN 目标”(Non SD-WAN Destinations via Edge) 中的 Edge 配置下,选择已配置的 NSD。
  4. 对于特定 NSD,选择 + 符号以配置 GRE 隧道参数。进行以下配置:
    • “隧道源”(Tunnel Source) 为 LAN 接口
    • “隧道源 IP”(Tunnel Source IP) 为在 LAN 接口上配置的 IP 地址;如果是动态指定,请使用“远程诊断”(Remote Diagnostics) >“接口统计信息”(Interface Stats) 来获取 IP 地址
    • TGW ASN
    • “主隧道”(Primary Tunnel) 参数可以通过提供“目标 IP”(Destination IP) 来配置,该 IP 为 TGW Connect 对等体上提供的 IP 地址
    • “内部网络/掩码”(Internal Network/Mask) 必须与在 TGW Connect 对等体内部配置中指定的相同。
    • 可以为“目标 IP”(Destination IP) 和“内部网络/掩码”(Internal Network/Mask) 配置“辅助隧道”(Secondary Tunnel) 参数。
    注: 默认情况下,将为此功能启用 BGP。系统将预填充“本地 ASN”(Local ASN) 字段。

    此时将显示通过 Edge 的非 SD-WAN 配置,如下图中所示。

  5. 在上述配置中,将自动为邻居创建 BGP 配置。将自动为两个 BGP 邻居创建到 AWS Transit Gateway 的每个 GRE 隧道配置,其中包含有关“链路名称”(Link Name)、“邻居 IP”(Neighbor IP)、“隧道类型”(Tunnel Type) 和“ASN”的信息。
    其他选项 (Additional Options) 中,eBGP“最大跳数”(Max-Hop) 配置为 2,因为这是 TGW Connect 服务的要求。其他已填充的参数为“保持活动状态”(Keep Alive) 和“保持定时器”(Hold Timer),这两个参数是根据 AWS 提供的建议填充的。另外,还预填充了 BGP“本地 IP”(Local IP)。这些参数无法修改。
    注:
    • 将自动添加两个 NSD BGP 邻居。
    • 其他选项 (Additional Options) 字段将针对“最大跳数”(Max-Hop)、“本地 IP”(Local IP)、“保持活动状态”(Keep Alive) 和“保持定时器”(Hold Timer) 的值进行修改。
  6. 对于 GRE 隧道端点,在 VMware SD-WAN Edge 上配置一个静态路由,以指定下一跃点,从而将子网默认网关和接口指定为 LAN 接口。